Users Guide
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.255
2. ZurBeschränkungvonAnmeldungenaufeinenkleinenSatzvonvierangrenzendenIP-Adressen(z.B.192.168.0.212bis192.168.0.215)wählenSiealle
außerdenniederwertigstenzweiBitinderMaske,wieuntengezeigt:
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.212
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.252
DasletzteBytederBereichsmaskeistauf252eingestellt,dasDezimaläquivalentvon11111100b.
Richtlinien zu IP-Filtern
Verwenden Sie die folgenden Richtlinien, wenn Sie den IP-Filter aktivieren:
l Stellen Sie sicher, dass cfgRacTuneIpRangeMaskinFormeinerNetzmaskekonfiguriertist,wobeiallehöchstwertigenBitsEinsen(1)sind(wasdas
SubnetzinderMaskedefiniert),miteinemÜbergangzunurNullen(0)indenniederwertigerenBits.
l VerwendenSiedieBasisadressedesgewünschtenBereichsalsWertvoncfgRacTuneIpRangeAddr.Derbinäre32-Bit-Wert dieser Adresse sollte Nullen
in allen niederwertigen Bits haben, wo Nullen in der Maske sind.
IP-Blockierung konfigurieren
Durch IP-Blockierung wird dynamisch festgestellt, wenn von einer bestimmten IP-AdresseausübermäßigeAnmeldefehlschlägeauftretenunddieAdresse
blockiertbzw.darangehindertwird,einebestimmteZeitlangeineAnmeldungamiDRACdurchzuführen.
Die Funktionen der IP-Blockierungschließenein:
l DieAnzahlzulässigerAnmeldefehlschläge(cfgRacTuneIpBlkFailcount)
l DieZeitspanneinSekunden,währendderdieseFehlerauftretenmüssen(cfgRacTuneIpBlkFailWindow)
l DieZeitdauerinSekunden,währendderdieblockierteIP-Adressedarangehindertwird,eineSitzungherzustellen,nachdemdiezulässigeAnzahlvon
Fehlernüberschrittenwurde(cfgRacTuneIpBlkPenaltyTime)
Wenn sich Anmeldefehler von einer spezifischen IP-Adresse aus ansammeln, werden sie durch einen internen Schalter registriert. Wenn sich der Benutzer
erfolgreichanmeldet,wirddieAufzeichnungderFehlversuchegelöschtundderinterneZählerzurückgesetzt.
EinevollständigeListedercfgRacTune-Eigenschaften finden Sie unter Gruppen- und Objektdefinitionen der iDRAC-Eigenschaftendatenbank.
Anmeldungswiederholungs-BeschränkungseigenschaftenführtdievomBenutzerdefiniertenParameterauf.
Tabelle 10-5.Anmeldungswiederholungs-Beschränkungseigenschaften
IP-Blockierung aktivieren
Das folgende Beispiel hindert eine Client-IP-AdressefünfMinutenlangdaran,eineSitzungzubeginnen,wenndieserClientinnerhalbeinerMinutefünf
fehlerhafteAnmeldeversuchedurchführt.
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkFailCount 5
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkFailWindow 60
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkPenaltyTime 300
ANMERKUNG: Wenn Anmeldungsversuche von der Client-IP-Adresseabgelehntwerden,könneneinigeSSH-Clients die folgende Meldung anzeigen: ssh
exchange identification: Verbindung vom Remote-Host geschlossen.
Eigenschaft
Definition
cfgRacTuneIpBlkEnable
Aktiviert die IP-Blockierungsfunktion.
Wenn innerhalb eines bestimmten Zeitraums aufeinander folgende Fehler (cfgRacTuneIpBlkFailCount) von einer einzelnen
IP-Adresse aus festgestellt werden (cfgRacTuneIpBlkFailWindow), werden alle weiteren Versuche, von dieser Adresse aus
eineSitzungherzustellen,währendeinesbestimmtenZeitraumszurückgewiesen(cfgRacTuneIpBlkPenaltyTime).
cfgRacTuneIpBlkFailCount
Legt die Anzahl von Anmeldungsfehlversuchen einer IP-Adressefest,bevordieAnmeldungsversuchezurückgewiesen
werden.
cfgRacTuneIpBlkFailWindow
DieZeitspanneinSekunden,währendderdiefehlgeschlagenenVersuchegezähltwerden.WenndieFehlversuchediese
Grenzeüberschreiten,werdensieausdemZählergelöscht.
cfgRacTuneIpBlkPenaltyTime
DefiniertdenZeitrauminSekunden,währenddessenAnmeldeversuchevoneinerIP-AdresseausaufGrundübermäßiger
Fehlerzurückgewiesenwerden.